les identités numériques

Contre les caméras de vidéosurveillance à Paris : Première ! Ca tourne ! Action ! – Paris sans vidéosurveillance

videosurveillance paris collectif-democratie-et-liberrtes

Création d'un fichier de données biométriques de passagers des aéroports – LeMonde.fr

Annotated link
parafes eric-besson aeroport douane passeport-biometrique transport-aerien cnil espace-schengen dispositif discours

Eric Besson inaugure le nouveau système de passage aux frontières – LeMonde.fr

Annotated link
parafes passeport-biometrique aeroport douane espace-schengen eric-besson dispositif transport-aerien cnil discours

De nombreuses bases de données pour ficher les individus – LeMonde.fr

infographie fichier-de-police stic edvirsp edvige judex faed fnaeg rnipp sis fpr crisitina fijais

La CIA veillera sur Twitter, MySpace et compagnie – Media

Via un fonds d'investissement, la CIA bénéficie de la technologie d'une start-up développant des solutions de veille des réseaux sociaux pour des acteurs économiques privés.
CIA twitter reseaux-sociaux veille surveillance dataveillance datamining in-q-tel visible-technologies microsoft

Louise Merzeau

louise-merzeau gresec article identite-numerique

De « Edvige I » à « Edvige III » : des fichiers de renseignement désormais mieux encadrés et plus contrôlés – CNIL – Commission nationale de l'informatique et des libertés

Communiqué de la CNIL sur les 2 nouveaux fichiers PASP et EASP. Interpréation des garanties apportées par la CNIL à comparer avec ce qu'en dit l'article de BBA.
cnil easp pasp fichier-de-police

SÉCURITÉ. Projet de vidéosurveillance pour les habitats sociaux en S.et.L. – Les caméras de l'Opac sont HS – Le JSL

Annotated link
delinquance france videosurveillance politique politique-municipale

Inflation du fichage policier : l'énorme hypocrisie – Big Brother Awards France (BBA-F)

Annotated link
edvige edvirsp pasp easp fichier-de-police cristina RG DST DCRI CNIL privacy-france

La valeur sociale de la vie privée | InternetActu.net

Annotated link
daniel-solove hubert-guillaud contrat-social habeas-numerique

The Illustrated Road to Serfdom

comics friedrich-hayek servitude

Dans la Globalisation de la surveillance (la découverte, 2008), Armand Mattelart revient sur les évènements et les concepts qui ont forgés, depuis les Lumières, la société de surveillance dans laquelle nous évoluons aujourd’hui.

On peut faire remonter l’histoire de la surveillance au début du XVIII^ème siècle, avec la prise en compte du danger provoqué par certaines catégories d’individus : on peut reprendre ici les exemples donnés par Vincent Denis dans son ouvrage Une histoire de l’identité, 1715-1815.

• Les pestiférés : avec la Peste de Marseille apparaissent les premiers migrants contagieux, et afin d’éviter la prolifération de la peste au reste du territoire français, les autorités vont instituer les premiers titres d’identité.
• Les vagabonds : avec la démobilisation de l’Armée de Louis XIV, qui propulse sur les routes des milliers de mendiants.

Police moderne

Viendront s’ajouter bien évidemment les personnages et populations participant aux multiples révolutions (1789, 1830, 1848, 1870) : la police doit se moderniser et emprunte au paradigme des Lumières la rationalisation¹ qu’elle applique à ses techniques d’identification et de contrôle.

• Invention et diffusion de la dactyloscopie (lecture des empreintes digitales) et de la photographie judiciaire (des détenus), dont les données constitueront les premiers registres d’anthropométrie développés par Alphonse Bertillon.
• Jérémy Bentham propose dans le Panopticon de réorganiser l’univers carcéral, en augmentant l’efficacité des gardiens qui d’un endroit unique pourront voir l’ensemble des cellules (vision panoptique)².

Mais à cette modernisation des moyens d’identification à des fins sécuritaires se joint une autre forme de contrôle, qui vise aussi une meilleure productivité : l’industrie adopte l’Organisation Scientifique du Travail (OST) de Taylor, puis de Ford. La division du travail passe d’abord par l’observation (scientifique) de l’ouvrier, puis par le contrôle de son application des étapes du process.

Ainsi, il a d’abord été construit un concept de l’individu dangereux (le sauvage, l’aliéné, le délinquant), duquel il fallait se prémunir³. Cette logique assurantielle qui cherche à anticiper le risque a glissé vers l’industrie et le travailleur, et afin d’éviter les erreurs humaines a été développé la logique algorithmique (procédures dans le travail, interopérabilité des acteurs).

Guerre psychologique

Au XXème siècle, ses deux logiques vont perdurer : l’individu dangereux est l’insurgé (anti-colonialiste au début, puis terroriste aujourd’hui), et le travailleur est soumis aux règles du management.

• A la 2^ème guerre mondiale vont succéder de nombreux conflits localisés pour l’indépendance et la décolonisation. Les États colonisateurs vont mettre en place un système contre-insurrectionnel :
  • Réapparition des SAS en Malaisie, qui donneront naissance à toutes les troupes d’élite de par le monde (SWAT, GIGN, Spetnatz, etc..)
  • Doctrine de guerre urbaine inspirée de la Bataille d’Alger, notamment dans la manipulation psychologique et l’application de la torture, qu’on retrouve aujourd’hui à Guantanamo, Abou Ghraïb et dans les affaires d’extraordinary rendition, ou encore dans l’apologie qui en est faite dans la série 24.
  • Cloisonnement des zones sûres, ou à sécurisées, par la construction de murs équipés d’appareils de surveillance et de défense électroniques : projet du MacNamara Wall au Viet-Nam, clôture de la frontière US-Mexique (Gatekeeper), barrière de séparation israélienne, barrières de Ceuta et Mellila, sans parler du Mur de Berlin, de celui de la zone démilitarisée en Corée ; cloisonnement aussi par la construction de villages-enclaves sur le modèle panoptique : au XIXème, concentration camp en Afrique du Sud, à Cuba (alors sous domination espagnole), New Villages construit par les Anglais pour relocaliser 400.000 Malaisiens, 2 millions d’Algériens déplacés dans des postes-villages, strategic hamlets (hameaux stratégiques) au VietNam, etc..
  • La diffusion de ces doctrines et des dispositifs est rendu possible par un réseau de coopération internationale initié par les USA, principalement à travers les International Law Enforcement Academy (ILEA, situées au Botswana, à Budapest, à Bangkok, à Roswell et au Salvador), et qui sera particulièrement actif en Amérique du Sud (Chili : Allende>Pinochet ; Brésil, Argentine, Colombie)
• La menace terroriste va migrer, d’une part articulée autour du conflit israélo-palestinien puis du Moyen-Orient (Hezbollah, Al-Qaeda, attentats de Munich ; 11-septembre, attentats de Londres et Madrid) ; d’autre part, au sein même de l’Occident avec l’IRA, les Brigades rouges, la RAF, ETA. La réponse à cette surenchère terroriste va être hautement techniciste :
  • Amélioration des dispositifs électroniques d’espionnage (Echelon)
  • Arsenal juridique : USA Patriot Act et 3ème pilier de l’UE (Schengen, Prüm)

Libéral ≠ Liberté

Ainsi, le capitalisme⁴ qui repose (entre autres) sur la liberté de circulation est biaisé par le principe d’exception qui devient la norme dans les démocraties contemporaines : on va postuler non pas que le voyageur est innocent, que les marchandises sont sans danger mais au contraire on va multiplier les identifiants et les contrôles afin de se prémunir du risque d’une attaque terroriste. Le risque devient la norme : « La France a peur ! »

Dans l’entreprise, désormais globale, connectée, actrice du néo-libéralisme, l’employé subit aussi ce principe d’exception. Il peut causer un risque et partant de là, il doit être contrôlé⁵ : à son embauche, à son entrée dans le territoire, à son accès au réseau et aux ressources, etc.. C’est donc sans surprise que le modèle symptomatique présenté par Mattelart n’est autre que la société IBM (International Business Machine), dont les ordinateurs équipent le Department of Defense, dont les cadres sont formés à l’ILEA ou dans d’autres War College, et grâce auxquels (ordinateurs et cadres) on peut démarrer le fichage des clients et des salariés dans toutes les entreprises équipées par IBM. Ce modèle⁶ se retrouvera par la suite chez Microsoft par exemple, ou plus récemment chez Google : chez le premier, il faudra identifier l’ennemi du marché (celui qui n’achète pas, ou qui ne dispose pas d’une licence) alors que le second identifiera l’ami du marché (celui qui consomme). Les données personnelles deviennent le crédo de la mercatique ⁷.

La vision binaire ennemi/ami se complète aussi par une autre vision idéalisée de l’individu : la démocratie libérale, explique Zbigniew Brzezinski, « exige une certaine mesure d’apathie et de non-participation de la part de certains groupes ou individus »⁸. En fait, pour tous, l’identification va être obligatoire et globale : standardisation de la biométrie sur les titres d’identité (Système d’Information des Visas, SIV), multiplication des fichiers et enregistrements, prolongation de leur durée de conservation, nécessité d’une identification même dans des transactions d’ordre privée (opérateurs de télécommunication, compagnies aériennes, sociétés bancaires).

La raison numérique

La loi qui est à l’œuvre derrière cette globalisation de la surveillance est celle de l’effet de masse :

• les masses se révoltent au XVIII^ème et donnent naissance à la démocratie moderne ; mais aussi à la sociologie (ou Psychologie des foules, pour reprendre le titre d’un ouvrage de Gustave Le Bon).
• L’industrie se développe au XIX^ème, créant du même coup un prolétariat, et la croyance en un behaviorisme social.
• Cette foule, cette masse devient public et audience : les mass-media apparaissent alors au XX^ème. Cela va engendrer la propagande (aux US, on parle de management gouvernemental de l’opinion), puis le marketing. C’est la Big Society dont parle Laswell : « S’il veut se libérer de ses chaines d’acier, l’individu doit accepter ses chaines d’argent »⁹
• La fin du XX^ème est marquée par Internet : il semble qu’aujourd’hui, en ce début de XXI^ème, l’individu cherche à se distinguer dans cette masse, mais il n’en reste pas moins que les acteurs majeurs du Web ont émergé grâce à leur maîtrise de l’information (moteurs de recherche, réseaux sociaux, traçabilité de la navigation et des habitudes d’achat). La surveillance est donc toujours active et participe de ce système global dont parle Armand Mattelart, en tension entre liberté et sécurité.

Il ressort de ce livre les conséquences que la démocratie libérale a eu dans son rapport à l’individu : l’exception que pouvait être l’aliéné est devenue la norme virtuelle, et les gouvernants sur ce postulat (et les lois de la Science et l’Économie, c-a-d de la Raison) ont non seulement mis en place tout un dispositif de surveillance des citoyens, mais ont de l’individu une conception déshumanisée.

Those Who Would Sacrifice Liberty for Security Deserve Neither
citation à auteur flottant : Richard Jackson ? Benjamin Franklin ?

Dans l’esprit de la citation, on pourra s’intéresser aussi à l’interview qu’Armand Mattelart a accordé à la revue en ligne Article11 : La résistance est le devoir de tout citoyen.

Article initialement prévu pour l’ebook « Cultivez votre identité numérique », mais trop long

Petit billet sans prétention technique qui vise uniquement à vulgariser et clarifier les questions d’identification et authentification sur Internet. Certains puristes pourraient avoir les cheveux qui se dressent sur la  tête à la lecture de ce qui va suivre : qu’ils ne m’en tiennent pas rigueur, cet article ne leur est pas destiné ;-)

Pourquoi s’identifier ?

Sur le web, je mène des transactions très variées : j’achète et je vends sur des sites marchands, je consulte mes comptes bancaires, je télé déclare mon statut auprès de l’administration (impôts, pôle emploi). Au travail, je m’identifie pour ouvrir une session et avoir accès aux applications et aux bases de données. Le reste du temps, il faut encore que je m’identifie pour les mails, les forums, les commentaires et tous les services web que j’utilise (YouTube, Facebook, etc..).

De l’autre côté, j’ai parfois besoin d’avoir une garantie sur l’identité de mon interlocuteur : ce vendeur est-il un escroc, un marchand professionnel ? Qui est ce lecteur qui m’a laissé des commentaires ? Est-ce bien cet homme politique ou cette star de la chanson dont je suis en train de lire la page perso ? S’agit-il d’un fake (faux profil) ou d’un robot ?

Les risques

Préserver son identité, c’est se prémunir contre l’usurpation. Si quelqu’un dispose des informations nécessaires pour se connecter à vos outils, il peut avoir accès à votre boite mail, votre compte en banque, il peut faire de fausses déclarations au fisc, insulter n’importe qui dans des forums ou sur des blogs, et tout ça en votre nom. Il peut vous dépouiller de votre identité, de vos finances et de votre réputation. La sécurisation de l’identification est donc vitale dans une société où de plus en plus d’interactions ou transactions se font par Internet.

Nous allons voir qu’il existe finalement plusieurs façons de se connecter à une application web, avec pour chacune des avantages et des inconvénients. Mais d’abord, un peu de définition…

• Identification : je dis qui je suis
• Authentification : je prouve être celui que je prétends
• Certification : un tiers prouve qui je prétends être
• Autorisation : si l’authentification ou la certification sont valides, je dispose des droits pour pénétrer le système et en exploiter les ressources

Commet s’identifier ?

La façon la plus fréquente de s’identifier sur un site web (authentification simple) est encore de saisir le couple identifiant / mot de passe. Le premier m’identifie, le second m’authentifie : je prouve être le propriétaire de l’identifiant. Je suis moi !

• Evitez les dates de naissance, surnom ou diminutifs ainsi que toute donnée personnelle pour construire vos mots de passe. Au contraire, choisissez un ensemble de lettres, caractères spéciaux et chiffres sans signification. Testez-le ici par exemple !

One password to rule them all

Ensuite la question est de savoir si ce couple sera le même sur tous les sites web auxquels on se connecte.

• Si vous avez la certitude que votre mot de passe est suffisamment complexe, pourquoi pas. Mais gardez à l’esprit que vous mettez tous vos œufs dans le même panier (dans le jargon, on dit ‘donner les clefs du château’). Il existe aujourd’hui des outils en ligne (passpack.com ou clipperz.com) et des logiciels (KeePass) qui vous aident à mémoriser vos mots de passe. Ils sont d’autant plus utiles si vous êtes nomade et que vous vous connectés depuis différents ordinateurs.
• Si ce sont des ordinateurs à accès public (plusieurs personnes peuvent l’utiliser : cybercafé, entreprise, réseau familial), n’oubliez pas d’effacer vos  traces après votre session de navigation (pour que le petit dernier n’aille pas jouer en bourse à votre place, ou que votre collègue n’aille pas draguer vos copines sur MSN).
• Si vous utilisez un seul ordinateur, les navigateurs peuvent mémoriser tous vos mots de passe, avec l’aide d’extension par exemple (Sxipper). Ca n’évite pas de saisir à répétition les identifiants requis par chaque site web que vous visitez.

Aujourd’hui, beaucoup d’organismes (entreprises, associations) proposent ce qu’on appelle l’authentification unique. Avec un couple unique, et saisi qu’une seule fois (Single Sign-On, SSO), vous avez accès à tous services web, sans avoir à vous connecter sur chaque d’entre eux.

• Fédération d’ID centralisée et localisée : Microsoft utilise et installe CardSpace dans Windows Vista. Vous saisissez votre Windows Live ID (adresse mail + mot de passe). Celle-ci est ensuite conservée sur votre ordinateur. A chaque sollicitation de la part d’un service web, CardSpace crypte votre identifiant et vous ouvre les portes du service. Mais peu de sites web ont adopté CardSpace (eBay l’a même abandonné). En guise de réponse, Microsoft va lancer Geneva, qui reposera sur OpenID.
• Fédération d’ID décentralisée : OpenID. Il n’y a plus une entreprise seule qui vous authentifie (comme Microsoft) en lisant un fichier sur votre ordi, mais plusieurs qui partagent (plus ou moins) les informations que vous avez saisies sur leurs sites web.
  • Vous utilisez un couple de connexion (identifiant/mot de passe) sur un fournisseur d’identité (OpenID provider : orange.fr, claimID, MyOpenID).
  • Vous obtenez alors une URI, une adresse web (moi.openid.net).
  • Après, chez un fournisseur de service, un site web reconnaissant OpenID, vous tapez comme identifiant cette URI.
  • Vous êtes redirigé vers le fournisseur d’identité qui vous authentifie auprès du site web, le fournisseur de service.
  • Vous pouvez désormais surfez librement.

• OpenID est de plus en plus reconnu par les grands acteurs du web d’aujourd’hui (IBM, Verisign, Google, Yahoo!, Microsoft, MySpace, Facebook, DailyMotion, etc..). Mais cette acceptation d’OpenID n’est pas suivie de contrepartie.Prenons un exemple avec Yahoo! (mais ça marche aussi avec les autres) :
  • vous pouvez créer un compte Yahoo! qui vous servira d’OpenID chez d’autres fournisseurs de service (principalement ceux de la galaxie Y!), mais vous ne serez pas autorisé à vous connecter avec une OpenID qui ne provient pas de chez Yahoo!
  • En échange, chaque grand acteur déploie sa plateforme d’authentification propriétaire, avec notamment le match entre Google Friend Connect et Facebook Connect (et MyBlogLog de Yahoo! en outsider). Ca veut dire que l’identité d’un commentateur est certifiée par Facebook, par exemple. Ca aide aussi à construire une communauté ‘certifiée’ et plus dynamique. Mais ça reste très compliqué techniquement, et encore un peu jeune…
  • Notez aussi qu’avec un peu de technique, et un serveur web, vous pouvez devenir votre propre fournisseur d’identité ! Et ça, ça élimine au moins plusieurs risques.

Les nouveaux risques

• La confiance dans le tiers qui certifie votre identité : ce n’est pas parce qu’une identité est certifiée par un organisme dont j’ignore tout que cette identité est réelle. Le fournisseur doit donc adopter des méthodes de certification de mon identité réelle (par Carte bleue comme MyID.is ou en face à face comme Certinomis). De plus, il faut s’interroger sur l’utilisation de données personnelles par une entreprise commerciale, et sur leur devenir en cas de faillite.
• Le phishing consiste à vous présenter la copie identique d’une page web à laquelle vous avez l’habitude de vous connecter. Quand vous saisissez vos identifiants, ils sont enregistrés dans la base de données pirate. Il n’y a plus qu’à les réutiliser sur le vrai site web pour avoir accès à votre compte en banque, etc..
• Des keyloggers (installés par des virus ou des chevaux de Troie) peuvent enregistrer vos identifiants au moment où vous les saisissez au clavier. Ils sont transmis ensuite au pirate qui s’en servira allègrement.

Il est donc nécessaire de déployer de nouvelles règles d’authentification, ce qu’on appelle l’authentification forte. Il s’agit en fait de rajouter un moyen de certifier l’identité.

• Ce que je sais: un mot de passe, la réponse à une question secrète; ou ce que je sais faire: lire un texte (captcha), une série de geste (ma signature), etc..
• Ce que je suis(biométrie): photo, fréquence de la voix, lecture de l’iris, empreinte digitale ou palmaire, ADN
• Ce que j’ai: une clé, un objet (un token) qui peut aussi me délivrer un mot de passe renouvelé toutes les heures, ou un mot de passe à usage unique One Time Password), une carte à puce (avec code PIN comme la carte bleue; Match on Card, qui dit oui un non sans envoyer d’autre information), un mobile sur lequel je reçois le mot en passe via SMS, etc..

C’est pourquoi, bientôt, peut-être, on se connectera avec des lecteurs de carte à puces, ou après s’être fait scanné les empreintes digitales. Une fois que nous serons authentifiés, le système nous laissera entrer sur le Web et nous pourrons surfer en toute liberté. Savoir si cette liberté sera effective, si ce scénario se réalisera ou si d’autres techniques d’usurpation apparaitront sont autant de questions intéressantes sur lesquelles il faudra débattre ailleurs ;-)